Ledningssystem för verksamhetsinformation en introduktion



Relevanta dokument
Standarder källa till kunskap och utveckling. Arkivarien i den digitala kommunikationen



Vägledning för krav på dokumenterad information enligt ISO 9001:2015

Förklarande text till revisionsrapport Sid 1 (5)

Matriser för korrelation mellan ISO 9001:2008 och ISO 9001:2015

Processinriktning i ISO 9001:2015

Arkivfrågor när en myndighet startar

Informationssäkerhetspolicy inom Stockholms läns landsting

Svensk Kvalitetsbas kravstandard (1:2016)

Strategi för dokument och arkivhantering i Sundsvalls kommunkoncern

Produktstöd - Vägledning till dokumentationskraven i SS-EN ISO 9001:2000

Processer i verksamhetsbaserad arkivredovisning. Nora Liljeholm / Riksarkivet /

Ledningssystem för kvalitet en introduktion

Ledningssystem för IT-tjänster

Förstudie e-arkiv Begreppslista Begreppslista 1.0

Policy för SLU:s hantering av verksamhetsinformation

ARKIVREGLEMENTE FÖR LUNDS KOMMUN

Ledningssystem för informationssäkerhet - Kompetensprofil

Göteborgs universitet Intern miljörevision. Exempel på frågor vid platsbesök

Finansinspektionens författningssamling

Arkivreglemente för Motala kommun

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

Mellan ISO 9001:2015 och ISO 9001:2008 Korrelationsmatris

Svensk Kvalitetsbas kravstandard (2:2019) 1. Utfärdare 2. Revisorer 3. Verksamheter. Antagen den 15 maj 2019

Arkivreglemente. Styrdokument

ISO I PRAKTIKEN

Arkivregler för Uppsala kommun

OHSAS Av Benny Halldin

Inga krav utöver ISO 14001

Förutsättningar för gallring efter skanning 1 (5) Tillsynsavdelningen Datum Dnr RA /1121 Håkan Lövblad

Korsreferens mellan ISO 9001 ISO BF9K 1 (6) ISO 9001:2000/2008 ISO 14001:2004 BF9K Ledningssystem för Kvalitet (Endast rubrik)

Finansinspektionens författningssamling

Arkivregler för Uppsala kommun

Arkivreglemente för Kristianstads kommun

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

Policy för informations- säkerhet och personuppgiftshantering

Riktlinjer. Informationssäkerhetsklassning

POLICY FÖR E-ARKIV STOCKHOLM

Bilaga 3 Säkerhet Dnr: /

Policy för hantering av personuppgifter

ISO/IEC och Nyheter

REVISION AV OUTSOURCAD VERKSAMHET - EXEMPEL UR VERKLIGHETEN

Samma krav gäller som för ISO 14001

Kravställning på e-arkiv från informationssäkerhetsperspektiv

IT-Policy för Tanums kommun. ver 1.0. Antagen av Kommunfullmäktige

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Krav Svensk Kvalitetsbas 1:2016 ISO 9 001:2015 Sammanfattning av hur motsvarar kraven i SKB kraven i ISO Ledarskap, ansvar och delaktighet

Checklista för utvärdering av miljöledningssystem enligt ISO 14001:2004

REGLEMENTE INTERN KONTROLL

Styrande dokument. Arkivreglemente för Oskarshamns kommun. Fastställd av kommunfullmäktige , 173

Vilket mervärde ger certifiering dig?

SOSFS 2005:12 (M) Ledningssystem för kvalitet och patientsäkerhet i hälso- och sjukvården. Socialstyrelsens författningssamling

Riktlinje för arkiv- och informationsförvaltning

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Arkivföreskrifter för Kils kommun

Riktlinjer för hantering av arkiv i Laholms kommun

Tillitsdeklarationen och revisionsprocessen. Åsa Wikenståhl Efosdagen

Anvisning om dokumenthantering vid KTH

Föreläggande om att vidta åtgärder rörande kvalitetsrevisionsverksamheten,

Regler för bevarande av elektroniska handlingar vid Mittuniversitetet

Arkivreglemente. för Borgholms kommun. Antaget av kommunfullmäktige (Ersätter tidigare arkivreglemente antaget )

Informationssäkerhetspolicy för Ystads kommun F 17:01

Finansinspektionens författningssamling

Riktlinjer för hantering av arkiv i Gävle kommun

ISO :2015 4: Ledarskap, ansvar och delaktighet

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Strategi för långsiktig informationsförvaltning och införande av e-arkiv

Administrativ säkerhet

ARKIVREGLEMENTE för Höörs kommun

Ledningssystem för Informationssäkerhet

S Arkivreglemente för Hässleholms kommun

E-strategi för Strömstads kommun

Regler och riktlinjer för intern styrning och kontroll vid KI

Informationssäkerhetspolicy för Vetlanda kommun

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK)

REGEL FÖR BEVARANDE AV ELEKTRONISKA HANDLINGAR

FÖRFATTNINGSSAMLING Arkivreglemente Utgivare: Kommunledningsförvaltningen Kansli Gäller från: Lagakraftvunnet beslut Antagen: KF 5,

Informationssäkerhetspolicy för Ånge kommun

Internrevisionsförordning (2006:1228)

ATT FASTSTÄLLA ARKIVANSVAR & ARKIVORGANISATION

ATT FASTSTÄLLA ARKIVANSVAR OCH ARKIVORGANISATION. en handledning för myndigheter i Västra Götalandsregionen och Göteborgs Stad

Välkomna! Med utveckling menas som bekant åsiktsförändring i för bedömaren behaglig rikting. Hjalmar Söderberg

Kvalitets och miljösystem på byggföretag

PLAN FÖR TILLSYN AV ARKIVVÅRD

Reglemente för hantering av arkiv i Norrtälje kommun antaget 2017-xx-xx av kommunfullmäktige dnr XXXX

YTTRANDE 1 (5) Riskarkivets föreskrifter anger att överenskommelse eller avtal ska upprättas när handlingar hanteras av annan än myndigheten.

Informationssäkerhetspolicy

Vad är informationsförvaltning

Fortsättning av MSB:s metodstöd

Policy och strategi för informationssäkerhet

VAD ÄR KVALITET? Röntgenveckan Monica Kasevik

LEDNINGSSYSTEM FÖR MILJÖ. Norbergstrappan AB:s Miljöledningssystem enligt EN ISO 14001:2004 MILJÖPOLICY

Strukturerad offentlig information som förutsättning för vidareutnyttjande

Policy för internkontroll för Stockholms läns landsting och bolag

Myndigheten för samhällsskydd och beredskaps författningssamling

Arkivreglemente för Östra Göinge kommun

Transkript:

1 (8) 2014-05-05 Ledningssystem för verksamhetsinformation en introduktion För de flesta organisationer idag är information en förutsättning för att skapa affärsvärde eller verksamhetsnytta. Information som måste vara korrekt, användbar och lätt tillgänglig för dem som behöver den. Ledningssystem för verksamhetsinformation, ISO 30300 (LVI) innehåller krav och principer för styrning och hantering av verksamhetsinformation. Att införa ett LVI i en organisation bidrar till att säkerställa öppenhet, spårbarhet och effektivitet i hanteringen av verksamhetsinformation, t ex dokumentation av beslut som fattas av organisationen och dess ledning.. Med verksamhetsinformation menar vi all information som påverkar och dokumenterar vad som sker i verksamheten. Det kan vara allt från avtal, beslut och ansökningar till journaler, och fakturor till uppgifter i ett IT-system. Vad menas med verksamhetsinformation? I standarden används begreppet verksamhetsinformation. Det är information som skapas, tas emot och underhålls som bevis och/eller som en tillgång av en organisation eller person för att uppfylla legala förpliktelser eller för att utföra transaktioner i verksamheten, oavsett typ av medium och format. Med bevis avses i LVI all form av dokumentation av transaktioner och således inte enbart dokumentation för att uppfylla legala förpliktelser. Med tillgång avses i LVI samma sak som även den närliggande ledningssystemstandarden för informationssäkerhet (LIS) avser, dvs. allt som är av värde för organisationen, t.ex. information. I denna introduktion avser vi verksamhetsinformation i standardens mening när vi i fortsättningen talar om verksamhetens information, eller information i verksamheten. Förutom LVI finns standarder för hantering av information i verksamheten såsom dokumenthantering (ISO 15489), metadata (ISO 23081) och processanalys (ISO 26122). Exempel på andra ledningssystem som följer standarder från ISO är ledningssystem för informationssäkerhet (LIS, ISO 27000), ledningssystem för tjänster (ISO 20000), miljöledningssystem (ISO 14000) och kvalitetsledningssystem (ISO 9000). SIS, Swedish Standards Institute SIS is the Swedish member of ISO and CEN Postadress: 118 80 STOCKHOLM Besöksadress: Sankt Paulsgatan 6, Stockholm Organisationsnr: 802410-0151 Telefon: 08-555 520 00 Telefax: 08-555 520 01 E-post: info@sis.se www.sis.se

2 (8) Även andra ledningssystem och system för styrning, som inte följer standarder från ISO förekommer ofta hos företag och myndigheter, t.ex. system för finansiell styrning och ekonomistyrning samt system för hantering av personalresurser (HR). En organisation som inför LVI får hjälp att uppfylla målen för även dessa andra ledningssystem. Det rör t.ex. kvalitet, riskhantering, följsamhet och säkerhet samt krav på styrning av informationsförvaltning LVI ger på så sätt organisationen stöd i att nå verksamhetsmålen. Det finns många vinster att uppnå för en organisation med att integrera LVI i ett gemensamt övergripande ledningssystem för organisationen. En väl genomförd integration kan förväntas bidra till att bl.a. optimera processer i organisationen och genom processerna för verksamhetsinformation i integreras i andra aktiviteter. Hur förhåller sig LVI till ledningssystem för informationssäkerhet (LIS)? LVI har ett särskilt nära samband med ledningssystemet för informationssäkerhet (ISO 27 000, LIS), genom att även LIS syftar till att stödja hanteringen av informationstillgångar. LIS är en del av den informationstekniska standardiseringen och är utformat för att säkerställa säkerhetsåtgärder som ger skydd för informationstillgångar och som ger förtroende för organisationens intressenter. LVI syftar till att skapa och styra verksamhetens information, i form av både informationstillgångar och bevis, så att den blir både tillförlitlig, äkta, fullständig och användbar. LVI och LIS kompetterar varandra på olika sätt vad gäller system för ledning av hanteringen av informationstillgångar. I denna introduktion kommenterar vi därför också på några punkter särskilt hur tillämpningen av LIS kan komplettera tillämpningen av LVI. LIS har också ett nära samband till den informationstekniska standardiseringen av ledningssystem för tjänster (ISO 20000). Processer enligt LIS kan anses utgöra även processer till stöd för tjänster som en it-organisation levererar enligt ISO 20000 varför det t.o.m. finns en särskild standard med vägledning för integrerat införande av dessa båda ledningssystem i en organisation (ISO 27013). I denna introduktion behandlar vi inte närmare utformningen av tekniska tjänster för hantering av verksamhetsinformation i tekniska system (it-system). Ledningssystemets uppbyggnad LVI är en relativt ny standard som publicerades 2011. Den första delen av standarden ISO 30300 behandlar principer och terminologi som förklarar syftet med att skapa ett LVI. Den andra delen ISO 30301beskriver de krav som behöver ställas på hanteringen av informationen inom verksamheten. Avsikten är att kraven ska uppnås genom att processer, rutiner och system tas fram för organisationens hantering av informationen inom verksamheten. Liksom andra ledningssystem förutsätter LVI ett ständigt förbättringsarbete i syfte att stödja organisationens förmåga att utföra sitt uppdrag och nå sina uppställda mål.

3 (8) LVI kan beskrivas enligt nedanstående bild. Den illustrerar sambanden mellan externa och interna krav och förväntningar på organisationen. Det rör sig främst om krav på måluppfyllelse och resultat i verksamheten. Tillförlitliga dokument Väl underbyggda beslut i linje med policyer och affärskrav Nedan ges en kort beskrivning av de olika delarna i LVI. Organisationens sammanhang Varje organisations unika behov är drivande vid genomförandet av LVI. Hur organisationen ska tillämpa och genomföra LVI beror bl.a. på organisationens storlek, karaktär, komplexitet och mognadsgrad. Genomförandet av LVI förutsätter därför att arbetet inleds med en analys av organisationens förutsättningar och sammanhang. Analysen ska redovisa såväl fördelar och nackdelar som det mervärde en effektiv hantering av information i verksamheten medför för organisationen. Förstå organisationen och dess sammanhang Analysen kan utgå från olika informationskällor det kan vara externa källor så som lagstiftning, marknadsanalys, rättspraxis m.m. Interna källor för analysen kan vara

4 (8) bolagsordning, stadgar, instruktioner, etc. Ett lämpligt sätt att identifiera vilka informationskällor som finns är att göra en intressentanalys. Analysen bör utmynna i ledningens bedömning av i vilken utsträckning organisationens verksamhet förutsätter ett väl fungerande LVI och hur mycket kunder eller andra intressenter värderar att organisationen har kontroll över informationen i den egna verksamheten. Det förberedande arbetet ska dokumenteras på lämpligt sätt. Att identifiera krav på verksamheten Utifrån från analysen ska de mer specifika kraven identifieras. Verksamhetskrav som behöver identifieras är rättsområden (nationellt, EU, multinationellt) och associationsform (stiftelse, aktiebolag, förening, myndighet). Andra exempel på verksamhetskrav kan vara hur outsourcing av organisationens tjänster styrs och krav på återanvändning och bevarande av information. I arbetet med att ta fram krav kan det behövas stöd från jurister/rättsliga experter, verksamhetsexperter, arkivarier, it-experter, revisorer m.fl. Kraven dokumenteras lämpligen i en kravspecifikation eller som en del i en handledning för införande. Ledarskap En uppgift för ledningen är att fastställa avgränsningen av LVI i organisationen. Avgränsningen omfattar vilka delar eller funktioner i organisationen som berörs och hur LVI förhåller sig till andra ledningssystem inom organisationen. Ledningens beslut dokumenteras på lämpligt sätt. Avgörande för ett bra resultat är ledningens tydliga mål med och stöd för genomförandet. Det kan uttryckas genom beslut i styrelseprotokoll, direktiv och verksamhetsplaner m.m. Ledningen kan också besluta en övergripande strategi för styrning av information i verksamheten. Som en förutsättning för genomförandet behöver ledningen besluta policys, tilldela resurser, organisera utbildning och förbereda utvärdering av införandet av LVI. En utpekad person bör ha särskild kompetens kring hanteringen av informationen i verksamheten och utses att ansvara för de processer som LVI syftar till att stödja.

5 (8) Planera Det är viktigt att betona att LVI inte sätter upp några specifika krav på själva informationen i en organisation utan krav på hanteringen av informationen. Planeringen för att uppnå målen bör inkludera val av lämplig projektmetodik, samt andra planeringsverktyg. Om organisationen har infört ett riskhanteringsprogram bör även detta omfatta hanteringen av informationen i verksamheten. Stödja För att säkerställa att LVI ska få avsedd effekt inom organisationen behöver kommunikations- och kompetenshöjande insatser planeras och genomföras. För de som arbetar med LVI behöver ledningen också säkerställa att det finns tillräckliga resurser med rätt kompetens. Ett lyckat genomförande av LVI förutsätter att kunskapen om LVI får en bred spridning inom organisationen och att den interna kompetensen och förståelsen av LVI säkerställs. För att säkerställa att de tekniska systemen för hantering av informationen är tillförlitliga och säkra krävs det finns särskilt utpekade personer som har ett ansvar för processer, styrmedel, utbildning, m.m. It-ansvariga inför och driftar den tekniska infrastrukturen och de system som behövs för att hantera verksamhetens information på ett säkert sätt. Genomföra Organisationen behöver identifiera, dokumentera och fastställa processerna för att hantera information i verksamheten. Dessa processer syftar till att säkerställa att ledningens mål för hanteringen uppnås, beslutade policys och strategier följs samt att risker hanteras. LVI utgår från att styrprocesserna för hanteringen av information integreras samordnat med övriga styrprocesser och med organisationens verksamhetsprocesser och dess informationssystem. Kartlägga verksamhetsprocesserna För att förstå var i verksamhetsprocesserna verksamhetens information behöver integreras krävs en kartläggning av processerna. För genomförandet av LVI räcker det att kartläggningen identifierar var i processen som information hanteras. Kartläggningen av processerna kan se olika ut i olika organisationer.

6 (8) Antingen utgår den från befintliga processbeskrivningar och kraven från LVI läggs på som ytterligare en aspekt på befintliga processer, eller så behöver en ny processkartläggning göras utifrån dokumentationskraven som identifierats i analysfasen. Som stöd för analys av processer med syfte att identifiera hur information hanteras finns ISO:s tekniska rapport Analys av verksamhetsprocesser för hantering av verksamhetsinformation (ISO 26122). Styrprocesserna För att framgent kunna styra och märka den information som identifierats i processerna behöver ett antal styrprocesser utformas, exempel på sådana processer är: Processer för att identifiera metadata som beskriver informationen med dess sammanhang med verksamhetsprocesser och tidpunkt när de uppstår. Processer för klassificering av information och beskriva hur informationen hanteras över tid med avseende på spårbarhet mm. Processer för att säkerställa tillgången till information, utifrån bl.a. lagkrav på dokumentation, bevarande, arkivering och gallring av information. Till stöd för att identifiera metadata finns standarden om metadata för dokumentation (ISO 23081). Kraven på arkivering varierar stort mellan olika samhällssektorer Krav på arkivering finns för myndigheter i arkivlagen och arkivförordningen och för företag främst i bokföringslagen. Myndigheternas arkivering äger rum redan så snart ett ärende slutbehandlats eller en allmän handling, som inte hör till ett ärende, färdigställts och oavsett om handlingen bevaras eller gallras. Myndigheters arkiv utgör därför även information i verksamheten och inte endast information som upphört ha direkt betydelse i verksamheten och som tagits omhand för bevarande. Riksarkivets föreskrifter om arkivredovisning innefattar även processbeskrivning och klassifikationsstruktur som syftar till att stödja sådana styrprocesser för att hantera verksamhetens information och som ingår i LVI. I andra organisationer kan det finnas olika syften för att bevara och arkivera information, exempelvis som ett sätt att säkerställa uppfyllandet av specifika branschkrav på dokumentation inom t ex bank, försäkring, läkemedel eller tillverkande industri. I andra fall arkiveras verksamhetens information först sedan den upphört att ha direkt betydelse för verksamheten och i stället endast utgöra information som bevaras av andra skäl. Införa informationssystem LVI utgår från att informationshanteringen är en integrerad del av verksamhetsprocesserna. Dessa processer stöds oftast av fler än ett informationssystem, vilka kan antas påverkas av

7 (8) införandet av ett LVI. Det innebär sannolikt att verksamhetens befintliga informationssystem behöver anpassas eller kompletteras. Vid val av tekniska system för hanteringen av verksamhetens information måste en mängd aspekter beaktas, såväl funktionella som tekniska, som ett konsekvens av styrprocessernas utformning. Exempel på informationssystem som kan behöva införas för att säkerställa tillgången till information över tid kan vara arkivinformationssystem. En referensmodell för utformning av arkivinformationssystem är OAIS-modellen enligt standarden ISO 14721. Förhållandet mellan LVI och OAIS ISO 14721 definierar en referensmodell för Oberoende Arkivinformationssystem, OAIS. Ett OAIS omfattar en arkivorganisation, som kan vara en del av annan organisation, med ett system för att bevara information och göra den tillgänglig. Standarden riktar sig till organisationer som ska etablera, förbättra eller ställa krav på ett särskilt arkivinformationssystem fristående från verksamhetssystemen. OAIS kan i likhet med LVI, användas oberoende av typ av information, teknik eller organisation. OAIS utgör ett ramverk av modeller för ökad förståelse för långsiktigt bevarande och tillhandahållande av information. De tekniska system som hanterar verksamhetens information, bör regelbundet övervakas ur LVI-perspektivet. Det gäller såväl särskilda tekniska system för att hantera verksamhetens information, som andra system i verksamheten (verksamhetssystem). Aktiviteterna resulterar i Förteckning över tekniska system som hanterar information i verksamheten Dokumentation av införande och förvaltning av systemen Rutiner för drift av systemen Regler för åtkomst till systemen Har LIS (ISO 27000) implementerats bör kraven enligt LVI hanteras samordnat med kraven enligt LIS. Utvärdera Att följa upp LVI För att systemen för hantering av informationen i verksamhetenska kunna förvaltas och utvecklas behövs rutiner för uppföljning och utvärdering av det LVI som införts. Ibland kan det bli fråga om helt nya rutiner, ibland kan befintliga rutiner för uppföljning av systemen behöva anpassas. I ISO 30301 finns en checklista som kan användas som stöd för vilka uppgifter som behöver följas upp och mätas. Exempel på sådant som behöver följas upp är om ledningens mål med genomförandet av LVI uppnåtts.

8 (8) Checklistan kan kompletteras med användarundersökningar, observationer (inspektioner), insamling och analys av användarstatistik samt analys av driftinformation (driftavbrott, dataförluster m.m.). Har organisationen infört LIS kan analysen av driftinformation med fördel ta stöd i rutiner för övervakning enligt denna standard. Intern revision Den löpande uppföljningen och utvärderingen av LVI är tänkt att följas upp av den interna revisionen vid givna tillfällen. Standarden ISO 19011 ger råd och idéer när det gäller revisioner av ledningssystem och kan användas också som stöd för revision av LVI. En revision av ett LVI är tänkt att resultera i en revisionsrapport, enligt samma praxis som tillämpas för revisionsrapporter från internrevision i övrigt i organisationen. Intern revision kan vara olika organiserad I en del organisationer har styrelsen ett särskilt revisionsutskott som bl.a. ser till att internrevision finns organiserad. Förvaltningsmyndigheter under regeringen har normalt internrevision organiserad enligt de bestämmelser som finns i internrevisionsförordningen. I kommuner och landsting väljer fullmäktige i stället revisorer enligt kommunallagens bestämmelser. Ledningens genomgång I den utsträckning organisationen tillämpar ett integrerat ledningssystem granskas revisionsrapporterna samordnat för de olika delarna av ledningssystemet, inklusive LVI. Statliga myndigheters ledningsgenomgång av LVI kan därför med fördel samordnas med genomgången med LIS, vilken följs upp och utvärderas minst en gång per år. Frågor som ledningen kan behöva ta ställning till kan vara i vilken utsträckning tillämpningen av LVI stämmer med organisationens strategiska inriktning och hur LVI bidrar till organisationens resultat, vilket kan leda till beslut om ändringar i policy och mål m.m. Förbättra En cykel för ständiga förbättringar uppstår och som bidrar till Fortgående resultatförbättringar Vidtagna korrigerande åtgärder Vidtagna förebyggande åtgärder Reviderade policys och mål Fortgående analyser av omvärldsfaktorer och risker

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss